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(57) Abstract 



The invention concerns a countermeasure method in an electronic component using a secret key K cryptographic algorithm, wherein 
the algorithm implementation comprises the use of first means TCo for supplying output data from input data, the output information and/or 
derived data being manipulated by critical instructions. Said countermeasure method provides for the use of other means TCj and/or TC2, 
such that the output information and the derived data are unpredictable. 



(57) Abrege* 
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PROCEDfe DE CONTRE-MESURE DANS UN COMPOSANT 
EIiECTRONIQUE METTANT EN OEUVRE UN ALG OR I THME DE 
CRYPTOGRAPHIE A CLE SECRETE 

La presente invention concerne un proc^de de 
contre-mesure dans un composant electronique mettant en 
oeuvre un algorithme de cryptographie a cle secrete, 
lis sont utilises dans des applications oH l'acces a 
5 des services ou a des donnees est severement controle. 
lis ont une architecture formee autour d'un 
microprocesseur et de memoires, dont une memoire 
programme qui contient la cle secrete. 

Ces composants sont notamment utilises dans les 

10 cartes a puce, pour certaines applications de celles- 
ci. Ce sont par exemple des applications d'acces a 
certaines banques de donnees, des applications 
bancaires, des applications de telepeage, par exemple 
pour la television, la distribution d' essence ou encore 

15 le passage de phages d'autoroutes. 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie a cle secrete, dont le 
plus connu est 1' algorithme DES (pour Data Encryption 
Standard dans la litterature anglo-saxonne) . D'autres 

20 algorithmes a cl6 secrete existent, comme 1' algorithme 
RC5 ou encore l'algorithme COMP128. Cette liste n'est 
bien sdr pas exhaustive. 

De maniere generale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffre a 

25 partir d'un message applique en entree (a la carte) par 
un systeme hote (serveur, distributeur bancaire...) et 
de la cle secrete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systeme hote d'authentif ier le 

30 composant ou la carte, d'echanger des donnees... 
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Or il est apparu que ces composants ou ces cartes 
sont vulnerables a des attaques consistant en une 
analyse dif f erentielle de consommation en courant et 
qui permettent a des tiers mal intentionnes de trouver 
5 la cle secrete. Ces attaques sont appelees attaques 
DPA, acronyme anglo-saxon pour Differential Power 
Analysis . 

Le principe de ces attaques DPA repose sur le fait 
que la consommation en courant du raicroprocesseur 
10 executant des instructions varie selon la donnee 
manipulee. 

Notamment, une instruction du microprocesseur 
manipulant un bit de donnee genere deux profils de 
courant differents selon que ce bit vaut "1" ou "0" . 
15 Typiquement, si 1 ' instruction manipule un H 0 M f on a a 
cet instant d ' execution une premiere amplitude du 
courant consomme et si 1 ' instruction manipule un "l", 
on a une deuxieme amplitude du courant consomme, 
differente de la premiere, 

2 0 Les caracteristiques des algorithmes de 

cryptographie sont connues : calculs effectues, 
parametres utilises. La seule inconnue est la cle 
secrete contenue en memoire programme. Celle-ci ne peut 
etre deduite de la seule connaissance du message 
25 applique en entree et du message chiffre fourni en 
retour • 

Cependant, dans un algorithme de cryptographie, 
certaines donnees calculees dependent seulement du 
message applique en clair en entree de la carte et de 

3 0 la cl§ secrete contenue dans la carte. D'autres donnees 

calculees dans 1' algorithme peuvent aussi etre 
recalculees seulement a partir du message chiffre 
(generalement fourni en clair en sortie de la carte 
vers le systeme hote) et de la cle secrete contenue 
35 dans la carte. Plus precisement, chaque bit de ces 
donnees particulieres peut etre determine a partir du 
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message d' entree ou de sortie, et d'un nombre limite de 
bits particuliers de la cle. 

Ainsi, a chaque bit d'une donnee particuliere, 
correspond une sous-cle foritiSe par un groupe 
5 particulier de bits de la cl6. 

Les bits de ces donnees particulieres qui peuvent 
etre predites sont appeles dans la suite , bits cibles. 

L'idee de base de l'attaque DPA est ainsi 
d'utiliser la difference du profil de consommation en 
10 courant d'une instruction selon qu'elle manipule un "1" 
ou un "0" et la possibility de calculer un bit cible 
par les instructions de l'algorithme a partir d'un 
message connu d' entree ou de sortie et d'une hypothese 
sur la sous-cle correspondante. 
15 Le principe de l'attaque DPA est done de tester une 

hypothese de sous-cle donnee, en appliquant sur un 
grand nombre de courbes de mesure en courant, chacune 
relative a un message d' entree connu de l'attaquant, 
une fonction booleenne de selection, fonction de 

2 0 1' hypothese de sous-cle, et definie pour chaque courbe 

par la valeur predite pour un bit cible. 

En faisant une hypothese sur la sous-cle concernee, 
on est en effet capable de predire la valeur "0" ou "1" 
que va prendre ce bit cible pour un message d' entree ou 
25 de sortie donne. 

On peut alors appliquer comme fonction booleenne de 
selection, la valeur predite "0" ou "1" par le bit 
cible pour 1' hypothese de sous-cle consideree, pour 
trier ces courbes en deux paquets : un premier paquet 

3 0 regroupe les courbes qui ont vu la manipulation du bit 

cible a "O" et un deuxieme paquet regroupe les courbes 
qui ont vu la manipulation du bit cible a "1" selon 
1' hypothese de sous-cle. En faisant la moyenne de 
consommation en courant dans chaque paquet, on obtient 
3 5 une courbe de consommation moyenne M0 (t) pour le 
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premier paquet et une courbe de cons ommat ion raoyenne 
Ml(t) pour le deuxieme paquet. 

Si l'hypothese de sous-cle est juste, le premier 
paquet regroupe reellement toutes les courbes parmi les 
5 N courbes qui ont vu la manipulation du bit cible a "O" 
et le deuxieme paquet regroupe reellement toutes les 
courbes parmi les N courbes qui ont vu la manipulation 
du bit cible a "l f *. La courbe moyenne de consommation 
M0(t) du premier paquet aura alors une consommation 

10 moyenne partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "0" (profil Q ) . En d'autres termes, pour toutes 
ces courbes tous les bits manipules ont eu autant de 

15 chances de valoir "0" que de valoir "l", sauf le bit 
cible qui a tou jours eu la valeur "0". Ce qui peut 
s'ecrire : 

M0(t)-[(profil 0 +profil 1 )/2] t;ttci + [profil 0 ] tci soit 
M0(t)-[Vm t ] t ^ tci + [profil 0 ] tci 

20 oH tci represente les instants critiques, auxquels une 
instruction critique a ete executee. 

De meme, la courbe moyenne de consommation Ml(t) du 
deuxieme paquet correspond a une consommation moyenne 
partout sauf aux moments de 1' execution des 

2 5 instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "1" (prof il x ) • On peut ecrire : 
Ml(t)=[(profil 0 +profil 1 )/2] t ^ tci + [profilj^i soit 
Ml(t)=[Vm t ] t;6t:ci + [profil-J^i 

30 On a vu que les deux profils profil Q et profil 1 ne 

sont pas egaux. La difference des courbes M0(t) et 
Ml(t) donne alors un signal DPA(t) dont 1' amplitude est 
egale a prof il Q -prof il x aux instants critiques tci 
d' execution des instructions critiques manipulant ce 

35 bit, c'est a dire, dans l'exemple represente sur la 
figure 1, aux endroits tcO a tc6, et dont 1' amplitude 
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est a peu pres egale a zero en dehors des instants 
critiques. 

Si 1' hypothese de sous-cle est fausse, le tri ne 
correspond pas a la realite. Statistiquement , il y a 
5 alors dans chaque paquet, autant de courbes ayant vu 
reellement la manipulation du bit cible a "0" que de 
courbes ayant vu la manipulation du bit cible a "1" . La 
courbe moyenne r§sultante M0(t) se situe alors autour 
d'une valeur moyenne donnee par (prof il Q +prof il x ) /2=Vm / 

10 car pour chacune des courbes, tous les bits manipules, 
y compris le bit cible ont autant de chances de valoir 
"0" que de valoir "1" . 

Le meme raisonnement sur le deuxieme paquet conduit 
a une courbe moyenne de consommation en courant Ml(t) 

15 dont 1' amplitude se situe autour d'une valeur moyenne 
donnee par (prof il Q +prof il 1 ) /2=Vm. 

Le signal DPA(t) fourni par la difference M0(t)- 
Ml(t) est dans ce cas sensiblement egal a zero. Le 
signal DPA(t) dans le cas d'une hypothese de sous-cle 

20 fausse est represents sur la figure 2. 

Ainsi l'attaque DPA exploite la difference du 
profil de consommation ; en courant pendant 1' execution 
d'une instruction suivant la valeur du bit manipule, 
pour effectuer un tri de courbes de consommation en 

25 courant selon une fonction de selection booleenne pour 
une hypothese de sous-cle donnee. En effectuant une 
analyse dif f erentielle de la consommation moyenne en 
courant entre les deux paquets de courbes obtenus, on 
obtient un signal d ' information DPA(t) . 

30 Le deroulement d'une attaque DPA consiste alors 

globalement : 

a- a tirer N messages aleatoires (par exemple N 
egal 1000) ; 

b- a faire executer 1'algorithme par la carte pour 
35 chacun des N messages aleatoires, en relevant la courbe 
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de consommation en courant a chaque fois (mesuree sur 
la borne d' alimentation du composant) ; 

c- a faire une hypothese sur une sous-cle; 

d- a predire, pour chacun des messages aleatoires, 
5 la valeur prise par un des bits cibles dont la valeur 
ne depend que des bits du message (d' entree ou de 
sortie) et de la sous-cle prise en hypothese, pour 
obtenir la fonction de selection booleenne; 

e- a trier les courbes selon cette fonction de 
10 selection booleenne (c'est a dire selon la valeur "0 n 
ou "1" predite pour ce bit cible pour chaque courbe 
sous l'hypothese de sous-cle); 

f- a calculer dans chaque paquet la courbe 
resultante de consommation moyenne en courant; 
15 g- a ef f ectuer la difference de ces courbes 

moyennes, pour obtenir le signal DPA(t) . 

Si l'hypothese sur la sous-cle est juste, la 
fonction de selection booleenne est juste et les 
courbes du premier paquet correspondent reellement aux 
20 courbes pour lesquelles le message applique en entree 
ou en sortie a donne un bit cible a "0" dans la carte 
et les courbes du deuxieme paquet correspondent 
reellement aux courbes pour lesquelles le message 
applique en entree ou en sortie a donne un bit cible a 
25 "l" dans la carte. 

On est dans le cas de la figure 1 : le signal 
DPA(t) n'est done pas nul aux instants tcO a tc6 
correspondant a 1' execution des instructions critiques 
(celles qui manipulent le bit cible) . 
3 0 On notera que l'attaquant n'a pas besoin de 

connaltre avec precision les instants critiques. II 
suffit qu'il y ait au moins un instant critique dans la 
periode d ' acquisition . 

Si l'hypothese de sous-cle n'est pas juste, le tri 
3 5 ne correspond pas a la reality et on a alors dans 
chaque paquet autant de courbes correspondant en 
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realite a un bit cible a "0 lf que de courbes 
correspondant a un bit cible a "1". Le signal DPA(t) 
est sensiblement nul partout (cas represents a la 
figure 2) . II faut retourner a I'etape c- et faire une 
5 nouvelle hypothese sur la sous-cle. 

Si 1' hypothese s'avere juste, on peut passer a 
1' evaluation d'autres sous-cles, jusqu'a avoir 
reconstitue la cle au maximum. Par exemple, avec un 
algorithme DES, on utilise une cle de 64 bits, dont 
10 seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 
utiles . 

La presente invention a pour but de raettre en 
oeuvre dans un composant electronique, un precede de 
15 contre-mesure qui entraine un signal DPA(t) nul # meme 
dans le cas ou 1' hypothese de sous-cle est juste. 

De cette fagon, rien ne permet de distinguer le cas 
de 1 'hypothese de sous-cle juste des cas d'hypotheses 
de sous-cle fausses. Par cette contre-mesure, le 
2 0 composant electronique est pare contre les attaques 
DPA. 

Selon 1' invention, le procede de contre-mesure 
permet de rendre impr edict ibles les bits cibles, e'est 
a dire les donnees manipulees par des instructions 

2 5 critiques. 

En effet, du fait de la contre-mesure, pour chaque 
message applique en entree, un bit cible manipule par 
une instruction critique prend la valeur 0 ou 1 avec 
une egale probability . Dans chaque paquet de courbes 

3 0 que fera l'attaquant sous une hypothese de sous-cle 

donnee, au moyen de la fonction de selection booleenne 
qu'il aura calculee, on aura autant de courbes ayant 
reellement manipule un bit cible "0" que de courbes 
ayant reellement manipule un bit cible a "1". Le signal 
35 DPA(t) sera tou jours nul, que 1' hypothese de sous-cle 
soit juste ou non. 
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Telle que caracterisee, 1' invention concerne done 
un procede de contre-raesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cle secrete, la mise en oeuvre de 
5 I'algorithme comprenant 1' utilisation de premiers 
moyens pour fournir une donnee de sortie a partir d'une 
donnee d'entr£e, la donnee de sortie et/ou des donnees 
derivees 6tant manipulees par des instructions 
critiques. Selon 1' invention, le procfede de contre- 

10 mesure prevoit 1 ' utilisation d'autres moyens, en sorte 
que la donnee de sortie et les donnees derivees soient 
impredictibles . 

Selon 1' invention, 1 'utilisation des differents 
moyens est geree selon une loi statistique de 

15 probability un demi . 

D'autres caracteristiques et avantages de 
1' invention sont detailles dans la description suivante 
faite a titre indicatif et nullement limitatif et en 
20 reference aux dessins annexes, dans lesquels : 

- les figures 1 et 2 deja decrites representent le 
signal DPA(t) que l'on peut obtenir en fonction d'une 
hypothese sur une sous-cle de la cle secrete K, selon 
une attaque DPA; 

2 5 - les figures 3 et 4 sont des organiigrammes 

d' execution des premiers tours et derniers tours de 
I'algorithme DES; 

- la figure 5 est un schema-bloc de 1' operation 
SBOX utilisee dans I'algorithme DES; 

3 0 - la figure 6 montre un exemple de table de 

constante elementaire a une entree et une sortie 
utilisee dans 1' operation SBOX; 

- les figures 7 et 8 montrent un exemple 
d' organigramme d r execution des premiers et derniers 

35 tours de I'algorithme DES, selon un mode de realisation 
du procede de contre-mesure selon 1' invention; 
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- les figures 9 et 10 montrent respectivement une 
deuxieme et une troisieme tables de constantes 
elementaires selon I 7 invention; 

- la figure 11 represente un organigramme general 
5 d' execution du DES selon un mode de realisation du 

procede de contre-mesure selon 1' invention; et 

- la figure 12 represente un schema-bloc simplifie 
d'une carte a puce comportant un composant electronique 
dans lequel le procede de contre-mesure selon 

10 1' invention est mis en oeuvre. 

La presente invention va etre expliquee dans un 
exemple d' application a l'algorithme cryptographique 
DES. L' invention n'est pas limitee a ce seul exemple. 
15 Elle s' applique aux algorithmes cryptographiques a cle 
secrete en general. 

L'algorithme cryptographique DES (dans la suite on 
parlera plus simplement du DES ou de l'algorithme DES) 
comporte 16 tours de calcul, notes Tl a T16, comme 
20 represente sur les figures 3 et 4 . 

Le DES debute par une permutation initiale IP sur 
le message d'entree M (figure 3). Le message d'entree M 
est un mot f de 64 bits. Apres permutation, on obtient 
un mot e de 64 bits , que l'on coupe en deux pour former 
25 les parametres d'entree L0 et R0 du premier tour (Tl) . 

LO est un mot d de 32 bits contenant les 32 bits de 
poids forts du mot e. R0 est un mot h de 3 2 bits 
contenant les 3 2 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 
3 0 elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits. 

Le premier tour comprend une operation EXP PERM sur 
le parametre R0, consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 48 
3 5 bits. 
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Ce mot 1 est combine a un parametre Kl, dans une 
operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 48 bits. Le parametre Kl qui est un mot m 
de 48 bits est obtenu du mot r par un decalage d'une 
5 position (operation notee SHIFT sur les figures 3 et 4) 
suivi d'une permutation et d'une compression (operation 
notee COMP PERM) . 

Le mot b est applique S une operation notee SBOX, 
en sortie de laquelle on obtient un mot a de 32 bits. 
10 Cette operation particuliere sera expliquee plus en 
detail en relation avec les figures 5 et 6 . 

Le mot a subit une permutation P PERM, donnant en 
sortie le mot c de 3 2 bits. 

Ce mot c est combine au parametre d' entree LO du 
15 premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
32 bits. 

Le mot h (=R0) du premier tour fournit le parametre 
d' entree LI du tour suivant (T2) et le mot g du premier 
20 tour fournit le parametre d' entree Rl du tour suivant. 

Le mot p du premier tour fournit 1' entree r du tour 
suivant. 

Les autres tours T2 a T16 se deroulent de fa?on 
similaire, excepte en ce qui concerne 1' operation de 
25 decalage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres. 

Chaque tour Ti regoit ainsi en entree les 
parametres Li-1, Ri-1 et r et fournit en sortie les 
parametres Li, Ri et r pour le tour suivant Ti+1- 
30 En fin d'algorithme DES (figure 4) , le message 

chiffre est calcule a partir des parametres L16 et R16 
fournis par le dernier tour T16 . 

Ce calcul du message chiffre C comprend en pratique 
les operations suivantes : 
3 5 - formation d'un mot e' de 64 bits en inversant la 

position des mots L16 et R16, puis en les concatenant; 
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- application de la permutation IP" 1 inverse de 
celle de debut de DES, pour obtenir le mot f de 64 
bits forraant le message chiffre C. 

L' operation SBOX est detaillee sur les figures 5 et 
5 6, Elle comprend une table de constantes TC Q pour 
fournir une donnee de sortie a en fonction d'une donnee 
d' entree b. 

En pratique, cette table de constantes TC Q se 
presente sous la forme de huit tables de constantes 

10 elementaires TC Q 1 a TC 0 8, chacune recevant en entree 
seulement 6 bits du mot b, pour fournir en sortie 
seulement 4 bits du mot a. 

Ainsi, la table de constante elementaire TC Q 1 
representee sur la figure 6 regoit comme donnee 

15 d' entree , les bits bl a b6 du mot b et fournit comme 
donnee de sortie les bits al a a4 du mot a. 

En pratique ces huit tables de constantes 
elementaires sont memorisees en memoire programme du 
composant electronique . 

2 0 Dans 1' operation SBOX du premier tour Tl , un bit 

particulier de la donnee a de sortie de la table de 
constante TC Q depend de ; seulement 6 bits de la donnee b 
appliquee en entree, c'est a dire de seulement 6 bits 
de la cle secrete K et du message d' entree (M) • 

25 Dans 1'operation SBOX du dernier tour T16, un bit 

particulier de la donnee a de sortie de la table de 
constante TC Q peut etre recalcule a partir de seulement 
6 bits de la cle secrete K et du message chiffre (C) . 

Or si on reprend le principe de l'attaque DPA, si 

30 on choisit comme bit cible un bit de la donnee de 
sortie a, il suffit: de faire une hypothese sur 6 bits 
de la cle K, pour predire la valeur d'un bit cible pour 
un message d' entree (M) ou de sortie (C) donne. En 
d'autres termes, pour le DES, il suffit de faire une 

35 hypothese sur une sous-cle de 6 bits. 
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Dans une attaque DPA sur un tel algorithme pour un 
bit cible donne, on a done a discriminer une hypothese 
de sous-cle juste parmi 64 possibles, 

Ainsi, en prenant seulement huit bits du mot a 
5 comme bits cibles, (un bit de sortie par table de 
constantes element aire TC Q 1 a TC Q 8) , on peut decouvrir 
jusqu'a 6x8=48 bits de la cle secrete, en faisant des 
attaques DPA sur chacun de ces bits cibles. 

Dans le DES, on trouve done des instructions 
10 critiques au sens des attaques DPA au debut de 
1' algorithme et a la fin. 

Au debut de 1' algorithme DES , les donnees qui 
peuvent etre pr^dites a partir d'un message d' entree M 
et d'une hypothese de sous-cle, sont les donnees a et g 
15 calculees dans le premier tour (Tl) . 

La donnee a du premier tour Tl (figure 3) est la 
donn£e de sortie de 1' operation SBOX du tour consid£r&. 
La donnee g est calculee a partir de la donnee a, par 
permutation (P PERM) et operation OU EXCLUSIF avec le 
20 parametre d' entree LO. 

En fait, la donnee c du premier tour, est une 
donnee derivee de la . donnee a du premier tour. La 
donnee derivee c correspond a une simple permutation de 
bits de la donnee a. 
25 La donnee 1 du deuxierae tour est une donnee derivee 

de la donnee g du premier tour, car elle correspond a 
une permutation des bits du mot g, certains bits du mot 
g etant en outre dupliques. 

Connaissant a et g, on peut aussi connaitre ces 
30 donnees derivees. 

Les instructions critiques du debut de 1 ' algorithme 
sont les instructions critiques qui manipulent soit la 
donnee que l'on peut predire, comme la donnee a du 
premier tour, soit une donnee derivee. 
3 5 Les instructions critiques manipulant la donnee a 

du premier tour Tl ou la . donnee derivee c sont ainsi 
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les instructions de fin de 1' operation SBOX, de 
1' operation P PERM et de debut de 1' operation XOR du 
premier tour Tl. 

Les instructions critiques manipulant la donnee g 
5 ou des donnees derivees sont toutes les instructions de 
fin d' operation XOR de fin du premier tour Tl jusqu'aux 
instructions de debut d' operation SBOX du deuxieme tour 
T2 , et les instructions de debut d' operation XOR de fin 
du troisieme tour T3 ( L2 = h(T2) - g(Tl) ). 
10 En fin d'algorithme DES , les donnees qui peuvent 

etre predites a partir d'un message chiffre C et d'une 
hypothese de sous-cle, sont la donnee a du seizieme 
tour T16 et la donnee L15 egale au mot h du quatorzieme 
tour T14 . 

15 Les instructions critiques manipulant la donnee a 

du seizieme tour ou des donnees derivees sont les 
instructions du seizieme tour de fin d' operation SBOX, 
de 1' operation de permutation P PERM et de debut 
d' operation XOR. 

2 0 Pour la donnee L15, les instructions critiques 

manipulant cette donnee ou des donnees derivees sont 
toutes les instructions^ depuis les instructions de fin 
d' operation XOR du quatorzieme tour T14 , jusqu'aux 
instructions de debut d' operation SBOX du quinzieme 

25 tour T15, et les instructions de debut d' operation XOR 
de fin du seizieme tour T16. 

Le procede de contre-mesure selon 1' invention 
applique a cet algorithme DES consiste a avoir, pour 
chaque instruction critique, autant de chances que 

30 1' instruction critique manipule une donnee que son 
complement. Ainsi, quel que soit le bit cible sur 
lequel l'attaque DPA peut etre faite, on a autant de 
chances que les instructions critiques qui manipulent 
ce bit, manipulent un "l" ou un "0". 

35 En pratique, ceci doit etre vrai pour chacun des 

bits cibles potentiels : en d'autres termes, 
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l'attaquant ayant le choix entre plusieurs attaques 
possibles, c'est a dire entre plusieurs fonctions de 
selection booleenne possibles pour effectuer son tri de 
courbes, pour une hypothese de sous-cle donnee, la mise 
5 en oeuvre du procede de contre-mesure selon 1 ' invention 
doit s'attacher a ce que les donnees manipulees par 
chacune des instructions critiques, prennent 
aleatoirement, une fois sur deux, une valeur ou son 
complement. En ce qui concerne 1' application du procede 

10 de contre-mesure selon 1' invention a l'algorithme DES, 
il faut done appliquer la contre-mesure aux 
instructions critiques de debut de DES et aux 
instructions critiques de fin de DES, pour etre 
totalement protege. 

15 Dans le DES, toutes les donnees manipulees par des 

instructions critiques sont une donnee de sortie ou des 
donnees derivees d'une donnee de sortie d'une operation 
SBOX . 

En effet, en debut de DES, les donnees qui peuvent 
20 etre predites sont les donnees a et g du premier tour 
Tl. La donnee a est la donnee de sortie de 1' operation 
SBOX du premier tour. La donnee g est calculee a partir 
de la donnee a, puisque g = P PERM (a) XOR LO. g est 
done une donnee derivee de la donnee de sortie a de 
25 1' operation SBOX du premier tour, Ainsi, toutes les 
donnees manipulees par les instructions critiques de 
debut de DES decoulent directement ou indirectement de 
la donnee de sortie a de 1' operation SBOX du premier 
tour. 

30 En ce qui concerne la fin de DES, les donnees qui 

peuvent etre predites sont la donnee a du seizieme tour 
T16 et la donnee g du quatorzieme tour T14 , g etant 
egale a L15. 

La donnee a est la donnee de sortie de 1' operation 
35 SBOX du seizieme tour T16. 
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Quant a la donnee L15, elle se calcule, dans 
1' execution normale de l'algorithme DES, & partir de la 
donnee de sortie a de 1' operation SBOX du quatorzieme 
tour T14 : L15 = P PERM (a) XOR L14. 

Si on rend impredictibles les donnees de sortie a 
de ces operations SBOX particulieres, on rend aussi 
impredictibles toutes les donnees derivees : on rend 
done impredictibles toutes les donnees manipul£es par 
les instructions critiques de l'algorithme DES. 

L' operation SBOX correspond done a des premiers 
moyens , qui consistent en une table de constantes TC Q , 
et qui sont utilises dans chaque tour pour fournir une 
donnee de sortie E a partir d'une donnee d' entree S. 

Un mode de realisation du precede de contre-mesure 
applique a l'algorithme DES peut consister a utiliser 
au moins une autre table de constantes comme autres 
moyens pour rendre impredictible la donnee de sortie a, 
en sorte que cette donnee de sortie et/ou des donnees 
derivees manipulees par les instructions critiques 
soient toutes impredictibles. 

Dans 1' execution de l'algorithme, 1 ' utilisation des 
diiferents moyens, e'est a dire, dans l'exemple, des 
differentes tables de constantes est geree selon une 
loi statistique de probability un demi. 

L' autre table de constantes ou les autres tables de 
constantes sont telles qu'a l'une et/ou 1' autre des 
donnees d' entree d et de sortie de la premiere table de 
constantes TC Q , elles font correspondre la donnee 
complementee . 

Les figures 7 et 8 representent ainsi un mode 
d' application du procede de contre-mesure de 
1' invention applique a l'algorithme DES. 

La figure 7 represente le debut de l'algorithme. 
Les operations et donnees non modifiees par le procede 
de contre-mesure selon 1' invention portent les memes 
references que dans la figure 3 deja decrite. 
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En debut d'algorithme DES, on prevoit une deuxieme 
table de constante TC 1 dans 1' operation SBOX du premier 
tour Tl. Toutes les donnees affectees par cette 
deuxieme table de constantes TC 1 sont affectees d'un 
5 signe ' ou d'un signe " sur ces figures. On voit que 
les instructions critiques de debut de DES manipulent 
toutes des donnees affectees par le procede de contre- 
mesure. 

On remarquera que la premiere table de constantes 
10 etant en fait formee de huit premieres tables de 
constantes, la deuxieme table de constantes est 
egalement formee de huit deuxiemes tables de 
constantes. 

Dans l'exemple de realisation represents, la 
15 premiere table de constantes TC Q et la deuxieme table 
de constantes TC^ sont telles que pour une meme donnee 
d' entree E, la deuxieme fournit en sortie le complement 
/S de la donnee de sortie S fournie par la premiere. 

La figure 9 montre une telle deuxieme table 
20 elementaire TC ± 1 fournissant une sortie complementee 
par rapport a la premiere table elementaire TCqI 
montree sur la figure 6. 

Avec une telle deuxifeme table de constantes TC 1# on 
obtient, en sortie de 1' operation SBOX du premier tour 
25 Tl, le complement /a de la donnee a obtenue avec la 
premiere table de constante TC Q . De meme, on obtient 
dans le premier tour Tl la donnee complementee /g et 
dans le deuxieme tour T2 , les donnees complementees /h, 
/L2, /I et /b. 

3 0 En utilisant la premiere table ou la deuxieme table 

pour fournir la donnee de sortie selon une loi 
statistique de probability un demi, tous les bits de 
cible potentiels de debut de DES manipules par les 
instructions critiques ont autant de chances de prendre 

35 la valeur "1" que de prendre la valeur n 0" . 
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En fin d'algorithme DES, le mode de realisation du 
procede de contre-meseure selon 1' invention necessite 
1' utilisation de plusieurs tables de constantes 
differentes de la premiere, car il faut considerer a la 
5 fois la donnee de sortie a calculee au quatorzieme tour 
T14, et la donnee de sortie a calculee au seizieme tour 
T16 pour rendre impredictibles toutes les donnees 
manipulees par les instructions critiques de cette fin 
de DES. 

10 Un exemple de realisation du procede de contre- 

mesure applique a cette fin d'algorithme DES est 

repr^sente sur la figure 8. 

II prevoit 1 ' utilisation de deux tables de 

constantes TC 1 et TC 2 - 
15 Dans 1' operation SBOX du quatorzieme tour T14, on 

utilise la deuxieme table de constantes TC 1 deja 

utilisee pour le debut du DES. 

Et on utilise une troisieme table de constantes 

TC 2 , dans les operations SBOX des quinzieme et seizieme 
20 tours. 

Cette troisieme table de constantes TC 2 est telle 
qu'elle fournit le complement /S de la donnee de sortie 
S au complement /E de la donnee d' entree E de la 
premiere table de constantes TC Q . Un exemple d'une 

25 troisieme table de constantes elementaire TC 2 1 
correspondante, a partir de la premiere table de 
constantes elementaire TC Q est montre sur la figure 10. 

En utilisant de telles tables de constantes, il 
apparalt sur la figure 8 que toutes les instructions 

3 0 critiques manipulent des donnees complementees . 

L' invention ne se limite pas a ces seuls exemples 
de tables de constantes TC^ et TC 2 . D'autres 
possibilites existent. Par exemple, pour le procede de 
contre-mesure applique a la fin de DES, il est aussi 

35 possible de combiner 1 ' utilisation de la table de 
constantes TC n avec une autre table de constantes 
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definie par rapport a la premiere, table de constantes 
TCq comme fournissant la donnee de sortie S au 
complement /E de la donnee d'entree. 

D'une maniere generale, la fin de DES necessite 
5 1 'utilisation de differentes tables de constantes, en 
fonction des tours consideres, pour que toutes les 
donn&es manipulees par les instructions critiques de 
cette fin de DES soient impredictibles . 

Le mode de realisation decrit en relation avec les 

10 figures 7 et 8 a cependant un inconvenient : le procede 
de contre-mesure applique en entree de DES produit des 
resultats intermediates calcules L3 ' et R3 ' qui ne 
sont pas justes. Tous les resultats intermediaires 
suivants ne sont done pas justes non plus. 

15 De meme, en fin de DES, le procede de contre-mesure 

applique en entree de DES produit des resultats 
intermediaires calcules L16' et R16' qui. ne sont pas 
justes, 

Dans tous les cas, le message chiffre est faux. 
20 Dans ce mode de realisation de 1' invention, il faut 

done prevoir de pouvoir reprendre a chaque fois la 
suite de 1 ' algorithms avec les bons resultats 
intermediaires, une fois les instructions critiques 
passees. 

2 5 En pratique, comme on a vu que les instructions 

critiques de debut de DES se trouvent dans les trois 
premiers tours, on va dedoubler ces trois premiers 
tours. En d'autres termes, on prevoit d'executer deux 
sequences comprenant chacune les trois premiers tours 
30 Tl, T2, T3 au moins. Une premiere sequence SEQA utilise 
la premiere table de constantes TC Q dans chaque tour. 
L' autre sequence SEQB utilise la deuxieme table de 
constantes TC 1 au moins dans le premier tour Tl. Dans 
l'exemple represents , on utilise la premiere table de 

3 5 constantes dans les deux tours suivants T2 et T3 . 
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On a vu que dans le procede de contre-mesure selon 
1' invention, 1 'utilisation des differents moyens, c'est 
a dire, dans 1'exemple, l'utilisation des differentes 
tables de constantes, est geree selon une loi 
5 statistique de probability un demi. Cette loi 
statistique de probability un demi est alors plus 
particulierement appliquee a l'ordre d' utilisation de 
ces differents moyens, c'est a dire, dans l'exemple, a 
l'ordre d' execution des deux sequences SEQA et SEQB. 

10 De meme, pour avoir les bons parametres L16 et R16 

en fin de DES pour elaborer le message chiffre C, on 
dedouble egalement les trois tours T14, T15 et T16 
(figure 7) qui contiennent les instructions critiques 
de fin de DES- On va done executer deux sequences qui 

15 comprennent au moins les trois derniers tours T14, T15, 
T16. Une premiere sequence SEQA' utilise dans chaque 
tour la premiere table de constantes TC Q . L' autre 
sequence SEQB ' utilise les autres tables de constantes 
TC 1 et TC 2 . Comme precedemment , la loi statistique de 

20 probability un demi est alors appliquee a l'ordre 
d' execution de ces deux sequences SEQA' et SEQB'. 

Les instructions critiques sont alors executees 
deux fois, une dans chaque sequence. Mais au moment de 
1' execution de n'importe laquelle des instructions 

25 critiques de l'une ou 1' autre des sequences, la 
probability de manipuler une donnee sera egale a la 
probability de manipuler son complement. 

Le programme de calcul du DES mis en oeuvre dans le 
composant electronique doit done etre modifie pour 

30 inclure le procede de contre-mesure selon 1' invention. 

Un exemple d' organigramme d' execution conforme a 
1' invention et mettant en oeuvre le procede de contre- 
mesure en debut et en fin de DES selon le mode de 
realisation decrit en relation avec les figures 7 et 8 

3 5 est represente sur la figure 11. Dans cet exemple, les 
sequences SEQA et SEQB comprennent les trois premiers 
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tours et les sequences SEQA' et SEQB ' comprennent les 
trois derniers tours. 

Le programme de calcul consiste alors 
principalement, au debut du calcul, a sauvegarder les 
5 parametres d' entree notes DATA IN et KEY, qui 
correspondent en pratique aux parametres LO, RO et r, 
dans une zone memoire temporaire notee CONTEXTO. 

Selon ce programme de calcul, on positionne ensuite 
un premier compteur de boucle FR a 0, et on tire 

10 aleatoirement une valeur RND1 egale a 0 ou a 1 . 

Si RND1 vaut 1, dans l'exemple, on effectue d'abord 
la sequence SEQB de Tl, T2, T3, dans laquelle on 
utilise la deuxieme table de constantes TC 1 au tour Tl 
et la premiere table TC Q pour les tours T2 et T3 . On 

15 sauvegarde les parametres de sortie L3 ' , R3 ' (qui ont 
des valeur s fausses) dans une zone memoire temporaire 
notee CONTEXT 2 . 

Si FR n'est pas egal a 1, on le met a 1, on 
restaur e les parametres d' entree du CONTEXTO et on 

2 0 complemente la valeur de RND1 . Dans l'exemple, on 
obtient RND1=0 . On va alors executer 1' autre sequence 
SEQA de Tl , T2 , T3 dans, laquelle on utilise la premiere 
table de constante dans les trois tours Tl, T2 et T3 • 
On sauvegarde les parametres de sortie (valeurs justes) 

2 5 dans une zone memoire temporaire notee CONTEXT1. 

Si FR est a 1, c'est que l'on a effectue les deux 
sequences- On restaure alors CONTEXT1 pour fournir les 
resultats intermediates L3 , R3 ayant les valeurs 
justes, au tour suivant (T4) . 

30 Si RND1 vaut zero, on commence par T1(TC 0 ), 

T2(TC Q ), T3(TC Q ) et on finit par TlfTC-^, T2(TC Q ), 
T3(TC Q ) . 

Arrive a la fin du tour T13 , on sauvegarde les 
parametres fournis par ce tour, L13, R13, dans la 
35 memoire temporaire CONTEXTO, et on procede pour les 
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•tours restants T14, T15 et T16 de fa?on similaire aux 
premiers tours. 

Dans tous les cas, il faut que le nombre 
d' instructions soit exactement le meme quel que soit le 
5 chemin de calcul. C'est pour cela notamment que dans 
1'exemple d' application decrit, on prevoit de 
sauvegarder aussi les valeurs fausses (L3', R3 9 ou 
L16', R16') dans la zone memoire temporaire CONTEXT2 . 

En effet si une difference quelconque existait 

10 entre les deux chemins possibles, il y aurait alors une 
possibility d'attaque DP A fructueuse. 

Le procede de contre-mesure selon 1' invention n'est 
pas limite a 1'exemple particulier de realisation 
decrit en reference a 1 ' algorithme DES. Il s'applique a 

15 tout algorithme de cryptographie a cle secrete. De 
maniere generale, pour toute mise en oeuvre d'un 
algorithme comprenant 1' utilisation de premiers moyens 
pour fournir une donnee de sortie a partir d'une donnee 
d' entree, la donnee de sortie et/ou des donnees 

20 derivees etant manipulees par des instructions 
critiques, le procede de contre-mesure selon 
1' invention comprend 1 '.utilisation d'autres moyens, en 
sorte que la donnee de sortie et les donnees derivees 
soient impredictibles . 

25 L' utilisation des differents moyens , c'est a dire 

des premiers moyens et des autres moyens, est geree 
selon une loi statistique de probability un demi . 

Les autres moyens peuvent comprendre plusieurs 
moyens differents. lis sont tels qu'a rune ou a 

3 0 1' autre des donnees d' entree et de sortie des premiers 
moyens, ils font correspondre la donnee complementee . 

Dans 1'exemple d'un mode d' application du procede 
de contre-mesure au DES plus particulierement decrit, 
les premiers moyens consistent en la premiere table de 

3 5 constantes TC Q . Les autres moyens consistent, en debut 
de DES, dans la deuxieme table de constantes TC^. En 
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fin de DES, ils consistent en deux tables de constantes 
differentes, TC 1 et TC 2 dans 1'exemple. 

Pour appliquer le procede de contre-mesure selon 
1' invention a un algorithme de cryptographie a cle 
5 secrete donn§, il faut done d'abord determiner toutes 
les donnees de cet algorithme qui peuvent §tre predites 
et toutes les instructions critiques au sens de 
l'attaque DPA manipulant ces donnees ou des donnees 
derivees. II faut ensuite identifier dans 1' algorithme 

10 des premiers moyens et des autres moyens au sens de 
1' invention, en sorte que toutes les donnees manipulees 
par les instructions critiques soient impredictibles . 
Les premiers moyens sont, pour 1' algorithme DES, la 
table de constantes TC Q Les autres moyens sont dans 

15 1'exemple, d' autres tables de constantes. Ces moyens 
peuvent etre des operations differentes pour d' autres 
algorithmes. Pour un meme algorithme, ces moyens 
peuvent consister en des operations differentes selon 
les instructions critiques identifiees. 

2 0 Le composant electronique 1 mettant en oeuvre un 

tel procede de contre-mesure dans un algorithme de 
cryptographie a cle secrete comprend typiquement, comme 
represents sur la figure 12, un microprocesseur jaP , une 
memoire programme 2 et une memoire de travail 3. Pour 

25 pouvoir gerer 1 ' utilisation des differents moyens selon 
1' invention, qui sont, dans l'exemple deer it, les 
differentes tables de constantes memorisees en memoire 
programme, des moyens 4 de generation d'une valeur 
aleatoire entre 0 et 1, sont prevus qui, si on se 

30 reporte a la figure 11, fourniront la valeur de RND1 a 
chaque execution du DES. Un tel composant peut tout 
particulierement etre utilise dans une carte a puce CP, 
pour ameliorer leur inviolabilite. 



WO 00/24155 



PCT/FR99/02172 



23 



RE VEND I CAT I ONS 



1. Proced£ de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cle secrdte (K) , la mise en oeuvre de 
1' algorithme comprenant l'utilisation de premiers 

5 moyens (TC Q ) pour fournir une donnee de sortie (S) a 
partir d'une donnee d' entree (E) , la donnee de sortie 
et/ou des donnees derivees etant manipulees par des 
instructions critiques, caracterise en ce que le 
precede de contre-mesure prevoit l'utilisation d'autres 
10 moyens (TC 1 ) , en sorte que la donnee de sortie et les 
donnees derivees soient impredictibles . 

2. Procede de contre-mesure selon la revendication 

1, caracterise en ce que l'utilisation des differents 
15 moyens (TC 0 , TC^) est geree par une loi statistique de 

probability un demi. 

3. Procede de contre-mesure selon la revendication 

2, la mise en oeuvre de 1' algorithme comprenant seize 
20 tours de calcul (Tl, ,T16) , caracterise en ce qu'il 

comprend 1' execution d'une premiere sequence (SEQA) et 
d'une deuxieme sequence (SEQB) formees des trois 
premiers tours au moins (Tl, T2, T3), l'ordre 
d' execution des sequences etant fonction de la loi 
25 statistique de probability un demi , la premiere 
sequence ( SEQA) utilisant les premiers moyens (TC Q ) 
dans chaque tour, la deuxieme sequence (SEQB) utilisant 
les autres moyens (TC 1 ) dans le premier tour (Tl) au 
moins • 



30 



4 . Procede de contre-mesure selon la revendication 
3, caracterise en ce que la premiere et la deuxieme 
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sequences sont formees chacune des trois premiers tours 
(Tl, T2, T3) . 

5. Procede de contre-mesure selon la revendication 
5 3 ou 4, caracterise en ce que les autres moyens 

consistent en des deuxi&mes moyens (TC^) tels que pour 
une meme donnee d'entree (E) , ils fournissent en sortie 
le complement (/S) de la donnee de sortie (S) des 
premiers moyens (TC Q ) . 

10 

6 . Procede de contre-mesure selon la revendication 
2, la mise en oeuvre de 1'algorithme comprenant seize 
tours de calcul (Tl, . ..,T16), caracterise en ce qu'il 
comprend 1' execution d'une premiere sequence (SEQA') et 

15 d'une deuxieme sequence (SEQB') formees chacune des 
trois derniers tours (T14, T15, T16) au moins, l'ordre 
d' execution des sequences etant fonction de la loi 
statistique de probability un demi, la premiere 
sequence (SEQA 7 ) utilisant les premiers moyens (TC Q ) 

20 dans chaque tour, la deuxieme sequence (SEQB') 
utilisant les autres moyens (TC lf TC 2 ) . 

7 . Procede de contre-mesure selon la revendication 
6, caracterise en ce que la premiere et la deuxieme 

25 sequences sont formees chacune des trois derniers 
tours, et en ce que les autres moyens utilises dans la 
deuxieme sequence comprennent des deuxiemes moyens 
(TC 1 ) et des troisiemes moyens (TC 2 ) • 

3 0 8. Procede de contre-mesure selon la revendication 

6 ou 7, caracterise en ce que les deuxiemes moyens 
(TC 1 ) sont tels que pour une meme donnee d'entree (E) , 
ils fournissent en sortie le complement (/S) de la 
donnee de sortie (S) des premiers moyens (TC Q ) et en ce 

3 5 que ces deuxiemes moyens sont utilises dans la deuxieme 
sequence (SEQB') pour le quatorzieme tour (T14) . 
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9 . Precede de contre-mesure selon la revendication 
8, caracterise en ce que les troisiemes moyens (TC 2 ) 
sont tels que pour le complement de la donnee d' entree 
5 (E) , ils fournissent en sortie le complement (/S) de la 
donnee de sortie (S) des premiers moyens (TCq) et sont 
utilises dans la deuxieme sequence, pour le quinzieme 
tour et le seizieme tour (T15, T16) . 

10 10. Procede de contre-mesure selon 1'une quelconque 

des revendications precedentes, caracterise en ce. que 
les differents moyens sont des tables de constantes. 

11. Composant electronique mettant en oeuvre le 
15 procede de contre-mesure selon 1'une quelconque des 

revendications precedentes, caracterise en ce que les 
differents moyens (TC Q/ TC^, TC 2 ) pour fournir une 
donnee de sortie a partir d'une donnee d' entree sont 
fixes en memoire programme du dit composant et en ce 
20 qu'il comprend des moyens de generation d'une valeur 
aleatoire (RND1) £ 0 ou a 1 pour gerer 1' utilisation 
des dits differents moyens. 

12 . Carte a puce comprenant un composant 
25 electronique selon la revendication 11. 
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